Domov-Klávesnice-Instalace serveru VPN v systému Linux. Nastavení připojení VPN v systému Linux

Instalace serveru VPN v systému Linux. Nastavení připojení VPN v systému Linux

Používají se k různým účelům a dnes zajišťují nejen výstavbu firemních sítí či ochranu při využívání veřejných přípojek, ale také přístup k internetu. Navíc je díky VPN možné navštěvovat webové zdroje obcházet blokování při zachování soukromí, které Nedávno nejvíce znepokojuje uživatele. Proces nastavení VPN pro každý systém má své vlastní charakteristiky a lze jej provádět v různých variantách. V závislosti na mnoha faktorech, včetně zamýšleného účelu a typu výstavby sítě, existuje několik způsobů implementace technologie. Podíváme se na to, jak nastavit VPN na Linuxu a také si ujasníme, k čemu toto připojení slouží.

Způsob nastavení VPN připojení v Linuxu.

Nejprve se podívejme, co je to virtuální privátní síť. privátní síť) a jak se přihlásit tenhle typ technologií. Díky VPN můžete připojit libovolný počet zařízení do privátní sítě a poskytnout bezpečný kanál pro přenos dat. Při použití tohoto typu připojení si tedy uživatelé mohou zachovat soukromí na internetu a nemusí se starat o bezpečnost dat, včetně práce v sítích s sdílený přístup. Připojení k VPN vám umožní vyhnout se zachycení informací útočníky, protože cesta výměny paketů je spolehlivě chráněna šifrováním a autentizací uživatele. Data jsou šifrována na straně odesílatele a putují komunikačním kanálem v zašifrované podobě a jsou dešifrována na zařízení příjemce, přičemž obě mají společný přístupový klíč. Pomocí VPN je možné vytvořit spolehlivou síť nad nespolehlivou sítí (obvykle internet). Připojení uživatele se neuskutečňuje přímo, ale prostřednictvím serveru připojeného k interní nebo externí síti. To zajišťuje soukromí na internetu, protože v tomto případě webové zdroje uvidí IP serveru, ke kterému je klient připojen. Server bude vyžadovat identifikační proceduru i autentizaci a po autorizaci uživatele je možná práce se sítí. VPN se nejčastěji používají v následujících případech:

  • Připojení k internetu přes VPN často využívají poskytovatelé městských sítí i v podnicích. Výhodou tohoto způsobu implementace je zabezpečení komunikačního kanálu, protože je možné konfigurovat různé úrovně zabezpečení. Toho je dosaženo nastavením jedné sítě nad druhou a přístupem k internetu prostřednictvím dvou různých sítí.
  • Uvnitř firemní síť. Integrace do jedné sítě umožňuje bezpečný přístup k síti libovolnému počtu počítačů zaměstnanců bez ohledu na jejich umístění a vzdálenost od serveru.
  • Konsolidace komponent podnikové sítě. Použitím VPN k zajištění interakce mezi různými částmi podniku je možné pro ně organizovat přístup k jednotlivým zdrojům obecné sítě.

Implementace technologie je k dispozici pro různá zařízení, jehož operační systém tuto možnost podporuje nebo má VPN klienta schopného přesměrovat porty pomocí TCP/IP do virtuální sítě. Uživatel může nezávisle provádět všechny kroky konfigurace. Potřeba toho ani nevzniká za účelem obcházení regionálního blokování, protože k tomu nemusíte na svém počítači konfigurovat VPN (k návštěvě blokovaných zdrojů stačí instalace aplikace třetí strany instalace speciálního rozšíření prohlížeče nebo použití vestavěné funkce prohlížeče). Nastavení VPN na PC nebo notebooku je často nutné, pokud změníte poskytovatele kvůli nastavení přístupu k internetu. Nastavení VPN pod Linuxem má svůj vlastní specifické funkce, vzhledem k všestrannosti OS, ale princip zůstává stejný.

Nastavení serverové části na Linuxu

Zvažme vytvoření serveru PPTP VPN na platformě Server Ubuntu. S Linuxem je docela snadné nasadit server a to lze provést i na slabém zařízení. Nejjednodušší způsob implementace VPN je pomocí PPTP, protože implementace nevyžaduje instalaci certifikátů na klientská zařízení a autentizace se provádí zadáním jména a hesla. Nejprve musíte nainstalovat balíčky:

sudo apt-get install pptpd

Jakmile jsou balíčky pro funkčnost PPTP VPN nainstalovány, musíte nakonfigurovat server. Chcete-li nastavit rozsah adres a provést další hlavní nastavení, otevřete soubor /etc/pptpd.conf (upravený s právy správce):

Chcete-li distribuovat více než sto připojení najednou, vyhledejte Připojení. Tento parametr musí být odkomentováno, načež v tomto řádku uvedeme požadovanou hodnotu pro počet spojení. Chcete-li posílat pakety vysílání přes VPN, musíte také zrušit komentář u parametru bcrelay. Dále přejdeme na konec souboru, kde nakonfigurujeme adresy. Přidejte adresu serveru do sítě VPN:

Rozsah adres pro distribuci klientům (přidělujeme je okamžitě s určitou rezervou, protože bez restartu pptpd nebude možné zvýšit počet):

Pokud máte několik externích IP adres, můžete určit, která z nich bude naslouchat příchozím rozhraním PPTP:

poslouchat externí ip

Parametr speed umožňuje nastavit rychlost připojení (bit/s). Uložte a zavřete soubor. Další parametry lze nakonfigurovat v /etc/ppp/pptpd-options:

sudo nano /etc/ppp/pptpd-options

V sektoru #Encryption, který je zodpovědný za šifrování, by měly být odkomentovány řádky, které zakazují používání zastaralých a nezabezpečených metod ověřování:

Musí být povolena volba proxyarp, která je zodpovědná za povolení podpory serveru Proxy ARP. Možnost zamknout vám umožňuje povolit (proto okomentujeme) nebo odmítnout (proto odkomentujeme) více připojení pro uživatele. Uložte a zavřete soubor. Nastavení serveru je dokončeno, ale pro vytvoření klientů provedeme příslušné položky v /etc/ppp/chap-secrets:

sudo nano /etc/ppp/chap-secrets

Vypadají nějak takto:

uživatelské jméno1 *heslo12345*

uživatelské jméno2 10.10.12.11 heslo345*

uživatelské jméno3 * heslo787 10.10.11.21

U každého uživatele zadáváme jeho jméno, heslo, vzdálenou a lokální IP, přičemž informace oddělujeme mezerníkem. Vzdálenou adresu registrujeme, pokud má klient statickou IP a za předpokladu, že je používána výhradně jinak, je vhodné dát hvězdičku, aby bylo spojení jednoznačně dokončeno. Lokální adresu uvádíme při přidělování stejné IP uživateli v síti VPN. Ve výše uvedeném příkladu jsou pro klienta v první volbě navazována připojení z libovolné externí IP adresy, lokální bude vybrána z první dostupné. Ve druhém případě bude místní přiděleno prvnímu dostupnému, ale spojení se uskutečňují pouze ze zadané adresy. Ve třetím se můžete k síti připojit z libovolné adresy, ale ta lokální bude zvýrazněna tou, kterou jsme zaregistrovali. Konfigurace serveru VPN PPTP je dokončena, restartujte jej:

restart služby sudo pptpd

Samotné zařízení není nutné restartovat.

Nastavení VPN klientů

Klientskou část VPN serveru můžete nastavit na libovolném operačním systému, ale my ji nastavíme na Ubuntu. Celkově bude připojení fungovat s výchozím nastavením, ale je lepší určit typ připojení a provést některá další nastavení. Instalace VPN na Ubuntu zahrnuje následující kroky:


Nastavení Linux VPN je dokončeno a zařízení lze připojit lokálně, ale přístup k internetu přes VPN bude vyžadovat další konfiguraci.

Nastavení přístupu k internetu přes VPN

Když s lokální síť Přišli jsme na to, začněme nastavovat připojení k internetu. Chcete-li se připojit, zadejte do terminálu následující příkazy:

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.1/24 -j MASQUERADE

iptables -A FORWARD -s 10.0.0.1/24 -j PŘIJÍMAT

iptables -A VPŘED -d 10.0.0.1/24 -j PŘIJMOUT

10.0.0.1/24 odkazuje na místní IP adresu serveru a masku sítě. Ušetříme:

a potvrďte nové parametry:

Nově na Linuxu je možné se připojit k internetu přes VPN a k dispozici jsou i další výhody práce s virtuální sítí. Zdroje, které navštívíte, uvidí externí adresu serveru, což zajistí soukromí a připojení bude spolehlivě chráněno před útoky hackerů a zajistí bezpečnost přenosu dat.

Zkratku VPN teď slyšel jen ten, kdo se nikdy nezabýval počítačem. Co to je, proč je to potřeba a jak si to sami nastavit?

Co je to VPN a proč je potřeba?

VPN (Virtual Private Network) je virtuální privátní síť, způsob, jak sjednotit několik počítačů fyzicky umístěných v určité vzdálenosti od sebe do jedné logické sítě.

VPN můžete používat k různým účelům – od organizace sítě pro práci/hry až po přístup k internetu. Zároveň musíte pochopit možnou právní odpovědnost za vaše jednání.

V Rusku není používání VPN trestným činem, s výjimkou případů použití pro zjevně nezákonné účely. To znamená, pokud chcete jít na stránky prezidenta sousední země (například Somálska) a napsat, jak je špatný, a přitom skrýt svou IP adresu, to samo o sobě není porušením (za předpokladu, že obsah prohlášení neporušuje zákony). Ale použití této technologie pro přístup ke zdrojům zakázaným v Rusku je trestný čin.

To znamená, že můžete hrát s přáteli online a pracovat vzdáleně v síti organizace pomocí VPN, ale nemůžete číst všechny druhy špatných stránek. To je vyřešeno. Nyní přejdeme k nastavení.

Nastavení serverové části na Ubuntu Linux

Na straně serveru je v tomto ohledu lepší používat Linux, je s ním jednodušší pracovat. Nejjednodušší možností je PPTP, nevyžaduje instalaci certifikátů na klientské počítače, je provedena autentizace podle uživatelského jména a hesla. My toho využijeme.

Nejprve nainstalujme potřebné balíčky:

Sudo nano /etc/pptpd.conf

Pokud potřebujeme více než 100 současných připojení, vyhledejte parametr „connections“, odkomentujte jej a zadejte požadovanou hodnotu, například:

Připojení 200

Pokud potřebujeme vysílat pakety přes virtuální síť, měli bychom se ujistit, že parametr bcrelay je také bez komentáře:

Bcrelay eth1

Poté přejděte na konec souboru a přidejte nastavení adresy:

Localip 10.10.10.1 remoteip 10.10.10.2-254 poslouchat 11.22.33.44

První parametr určuje IP adresu serveru v lokální síti, druhý - rozsah IP adres přidělovaných klientům (rozsah by měl poskytovat možnost zadaného počtu připojení, je lepší přidělovat adresy s rezervou) , třetí určuje, na které externí adrese se má naslouchat rozhraním pro příjem příchozích připojení. To znamená, že pokud existuje několik externích adres, lze poslouchat pouze jednu. Pokud není zadán třetí parametr, budou se poslouchat všechny dostupné externí adresy.

Uložte soubor a zavřete. Další jemné nastavení zadejte v souboru /etc/ppp/pptpd-options:

Sudo nano /etc/ppp/pptpd-options

Nejprve se ujistíme, že jsme odkomentovali řádky, které zakazují používání starých a nezabezpečených metod ověřování:

Odmítnout-pap odmítnout-chap odmítnout-mschap

Také zkontrolujeme, zda je povolena volba proxyarp (odpovídající řádek je bez komentáře) a navíc, chcete-li povolit nebo zakázat více připojení od jednoho uživatele, okomentujte (povolit) nebo odkomentovat (zakázat) volbu uzamčení.

Soubor také uložíme a zavřeme. Zbývá pouze vytvořit uživatele:

Sudo nano /etc/ppp/chap-secrets

Pro každého uživatel VPN je přidělen jeden řádek, ve kterém je postupně uvedeno jeho jméno, vzdálená adresa, heslo a lokální adresa (oddělená mezerou).

Vzdálenou adresu lze zadat, pokud má uživatel externí statickou IP a bude použita pouze tato, jinak je lepší zadat hvězdičku, aby bylo možné připojení přijmout. Pokud chcete, aby byla uživateli přidělena stejná IP adresa ve virtuální síti, musí být zadáno Local. Například:

Uživatel1 * heslo1 * uživatel2 11.22.33.44 heslo2 * uživatel3 * heslo3 10.10.10.10

Pro uživatele user1 budou přijímána připojení z libovolné externí adresy, lokální bude přidělena první dostupné. Pro uživatele 2 bude přidělena první dostupná místní adresa, ale připojení budou přijímána pouze z adresy 11.22.33.44. Pro user3 jsou přijímána připojení odkudkoliv, ale lokální adresa bude vždy přidělena 10.10.10.10, kterou jsme mu rezervovali.

Tím je konfigurace serveru VPN dokončena a restartujte jej (v systému Linux není nutné restartovat počítač):

Restartování služby sudo pptpd

Nastavení VPN klientů

Klientskou část lze konfigurovat pod libovolným operačním systémem, uvedu to jako příklad Ubuntu Linux 16.04 .

Na klientský počítač otevřená síťová připojení (snímky obrazovky ukazují pro Ubuntu + Cinnamon, pro GNOME se to dělá stejným způsobem, v Kubuntu to vypadá, že to nezpůsobí žádné potíže). Klikněte na tlačítko „Přidat“ a vyberte připojení PPTP:

Název připojení VPN lze ponechat standardní, nebo můžete zadat takový, který je pro vás pohodlný a srozumitelný - je to věc vkusu. Do pole „brána“ zadáme externí IP adresu serveru, ke kterému se připojujeme (zadaná při nastavování ve volbě „poslouchat“), níže je jméno a heslo. Vpravo v poli „Heslo“ musíte nejprve vybrat možnost „Uložit heslo pro tohoto uživatele“:

Poté zavřete okna a připojte se k serveru. Pokud je server umístěn mimo vaši místní síť, potřebujete přístup k internetu.

Tím je organizace virtuální sítě dokončena, ale pouze připojí počítače k ​​místní síti. Pro přístup k internetu přes síťový server je třeba provést ještě jedno nastavení.

Nastavení přístupu k internetu přes VPN

Na serveru VPN zadejte následující příkazy:

Iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1/24 -j MASQUERADE iptables -A FORWARD -s 10.10.10.1/24 -j ACCEPT iptables -A FORWARD -d 10.10.10.1/24

kde 10.10.10.1/24 je adresa místního serveru a maska ​​sítě.

Poté změny uložte, aby fungovaly i po restartu serveru:

Iptables-save

A použijte všechny změny:

Iptables-použít

Poté budete mít přístup k internetu. Pokud přejdete na jakoukoli stránku, která zobrazuje vaši IP adresu, uvidíte adresu externího serveru, nikoli vaši (pokud se neshodují).

Dovolte mi, abych vám připomněl, že pouze vy jste odpovědní za důsledky svých činů.

Skutečná privátní virtuální síť nebo virtuální privátní síť (VPN) je šifrovaný propojený tunel mezi dvěma sítěmi, který spojuje dva důvěryhodné body. Toto není webový protokol HTTPS, který považuje všechny klienty za důvěryhodné. K VPN se mohou připojit pouze klienti, kteří mají speciální přístupové klíče.

Koncept VPN se v dnešní době velmi uvolnil, s příchodem soukromých virtuálních sítí, kterým všichni důvěřují, a rozšířením HTTPS. Mnoho sítě VPN jsou komerční řešení s minimálním počtem nastavení k zajištění vzdálený přístup zaměstnanci. Ne každý ale těmto rozhodnutím důvěřuje. Soukromá virtuální síť spojuje dvě sítě do jedné, například kancelářskou síť a domácí síť zaměstnanec. Aby se server a klient mohli vzájemně autentizovat, je vyžadován server VPN.

Nastavení autentizace serveru a klienta vyžaduje hodně práce, a proto komerční řešení s minimem nastavení v tomto ohledu prohrávají. Ale ve skutečnosti není tak obtížné nainstalovat server OpenVPN. K organizaci testovacího prostředí budete potřebovat dva uzly v různých sítích, můžete jich například použít několik virtuální stroje nebo skutečné servery. Jak jste již pochopili, tento článek se bude zabývat nastavením OpenVPN v Ubuntu za účelem vytvoření plnohodnotné privátní virtuální sítě.

Oba stroje musí mít nainstalované OpenVPN, to je docela dost populární program, takže si jej můžete nainstalovat z oficiálních repozitářů. Pro práci s tajnými klíči potřebujeme také Easy-RSA. Chcete-li nainstalovat programy na Ubuntu, použijte následující příkaz:

sudo apt install openvpn easy-rsa

Oba balíčky musí být nainstalovány na serveru i na klientovi. Budou potřeba ke konfiguraci programu. První fáze článku, instalace a konfigurace openvpn, je dokončena.

Nastavení certifikační autority

První věc, kterou musíte udělat, je vytvořit správnou infrastrukturu veřejných klíčů na serveru. Server považujeme za stroj, ke kterému se budou uživatelé připojovat. Mít vlastní CA má několik výhod, budete mít vlastní CA, což usnadní distribuci a správu klíčů. Můžete například odvolat klientské certifikáty na serveru. Nyní také není potřeba ukládat všechny klientské certifikáty, postačí, když bude certifikační autorita vědět, že certifikát je podepsán CA. Kromě složitého systému klíčů můžete použít statické klíče, pokud potřebujete poskytnout přístup pouze několika uživatelům.

Upozorňujeme, že všechny soukromé klíče musí být uloženy na bezpečném místě. V OpenVPN se veřejný klíč nazývá certifikát a má příponu .crt a soukromý klíč Tomu se říká klíč, jeho přípona je .key.

Nejprve vytvořte složku pro ukládání certifikátů Easy-RSA. Ve skutečnosti se konfigurace OpenVPN provádí ručně, takže složku lze umístit kamkoli:

sudo mkdir /etc/openvpn/easy-rsa

Poté zkopírujte všechny potřebné skripty easy-rsa do této složky:

cd /etc/openvpn/easy-rsa/

sudo -i
# zdroj ./vars
# ./vymazat vše
# ./build-ca

Prvním příkazem se přepneme do konzole jako superuživatel, druhým načteme proměnné prostředí ze souboru./vars. Příkaz ./clear-all vytvoří složku klíčů, pokud neexistuje, a vymaže její obsah. A poslední příkaz inicializuje naši certifikační autoritu. Nyní se všechny potřebné klíče objevily ve složce .keys:

Nastavení klientských certifikátů

sudo cp -R /usr/share/easy-rsa /etc/openvpn/

Nyní musíme zkopírovat certifikát, soubor s příponou .crt, do složky /etc/openvpn na všech klientech. Například si stáhněte tento soubor pro našeho klienta pomocí scp:

sudo scp uživatel@hostitel:/etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/easy-rsa/keys

Teprve nyní si můžete vytvořit svůj vlastní soukromý klíč na základě certifikátu CA:

cd /etc/openvpn/easy-rsa/

sudo -i
# zdroj ./vars
# build-req Sergiy

Upozorňujeme, že ca.crt musí být ve složce s klíči, jinak nebude nic fungovat. Nyní nástroj vytvoří klíč, na základě kterého se můžete připojit k serveru OpenVPN, ale stále jej musíte podepsat na serveru. Odešlete výsledný soubor .csr na server pomocí stejného scp:

scp /etc/openvpn/easy-rsa/keys/Sergiy.csr user@host:~/

Poté na serveru ve složce /etc/openvpn/easy-rsa musíte spustit příkaz k podpisu certifikátu:

./sign-req ~/Sergiy

Podpis certifikátu musí být potvrzen. Poté program oznámí, že byl podepsán a přidán do databáze. Ve složce s certifikátem csr se objeví soubor .crt, který je třeba vrátit zpět na klientský počítač:

sudo scp uživatel@hostitel:/home/Sergiy.crt /etc/openvpn/easy-rsa/keys

Teprve poté mají server a klient všechny potřebné klíče pro připojení a navázání komunikace. Zbývá ještě několik nastavení. Pokud plánujete používat šifrování TLS, musíte na serveru vytvořit datovou sadu Diffie-Huffman, k tomu použijte příkaz:

Nastavení OpenVPN

Nyní nastavte server OpenVPN. Ve výchozím nastavení není ve složce konfiguračních souborů OpenVPN nic. Musíte je vytvořit sami, v závislosti na tom, co plánujete konfigurovat, server nebo klient. Požadovaný soubor Konfigurace OpenVPN lze nalézt na /usr/share/doc/openvpn/examples/sample-config-files/. Nejprve vytvořte konfigurační soubor pro server:

zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

Zde musíte nakonfigurovat několik parametrů:

přístav A proto- port a protokol, na kterém bude program pracovat;

port 1194
proto udp

Všechny vytvořené klíče musí být zapsány v konfiguračním souboru. Naše klíče jsou uloženy v /etc/openvpn/easy-rsa/keys:


cert /etc/openvpn/easy-rsa/keys/ca.crt
klíč /etc/openvpn/easy-rsa/keys/ca.key
dh /etc/openvpn/easy-rsa/keys/dh.pem

Nakonfigurujeme rozsah adres pro virtuální síť, náš server bude přístupný přes první z nich - 10.8.0.1:

server 10.8.0.0 255.255.255.0

Po dokončení konfigurace uložte změny do souboru, celou tuto konfiguraci můžete buď vložit do sebe, nebo upravit ukázkový soubor. Připravené nastavení serveru:

port 1194
proto udp
comp-lzo
dev melodie
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/ca.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
podsíť topologie
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/client.conf

Můžete vytvořit více konfiguračních souborů klienta, ke kterému se chcete připojit různé servery. Otevřete konfigurační soubor a změňte v něm následující parametry:

dálkový- toto je adresa vašeho OpenVPN serveru, adresa a port se musí shodovat s adresami nakonfigurovanými na serveru, například:

vzdálené 194.67.215.125 1194

ca- klíč, který jste obdrželi od certifikační autority, jsme jej našli ve složce /etc/openvpn/.

certifikát a klíč- jedná se o veřejné a tajné klíče klienta, pomocí kterých se připojíte k serveru. Jak si pamatujete, uložili jsme je do složky /etc/openvpn/easy-rsa/keys/.

ca /etc/openvpn/easy-rsa/keys/ca.crt

Zbytek nastavení lze ponechat tak, jak jsou. Zde je celý konfigurační soubor, který můžete zkopírovat:

klienta
dev melodie
proto udp
vzdálené 194.67.215.125 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/Sergiy.crt
klíč /etc/openvpn/easy-rsa/keys/Sergiy.key
tls-auth ta.key 1
comp-lzo
sloveso 3

Uložte nastavení, nyní je klient připraven k připojení. Upozorňujeme, že konfigurační soubory se musí co nejvíce shodovat, chybějící určité možnosti v jednom ze souborů mohou vést k chybám. Neznamená to, že soubory budou totožné, ale základní parametry openvpn by měly být stejné. Vše, co musíte udělat, je spustit OpenVPN na tomto počítači pomocí tohoto konfiguračního souboru:

openvpn /etc/openvpn/client.conf

Hotovo, nyní vše funguje, pokud spustíte ifconfig, uvidíte, že bylo přidáno rozhraní tun0:

Můžete také zkusit ping adresy 10.8.0.1, toto je adresa, kterou jsme nakonfigurovali pro náš OpenVPN server, ping pakety budou odesílány normálně. Pokud pakety nepřicházejí nebo něco jiného nefunguje, věnujte pozornost výstupu obou programů, mohou se vyskytnout nějaké chyby nebo varování, také se ujistěte, že firewall serveru umožňuje přístup zvenčí přes udp pro port 1194. také spusťte server nebo klienta nastavením úrovně podrobností v konfiguraci maximálně na sloveso 9. Velmi často to pomůže pochopit, proč něco nefunguje. Ale zatím nemůžete směrovat dopravu tunelem. Chcete-li to provést, musíte povolit přeposílání a přidat několik pravidel iptables. Nejprve povolíme přenos paketů na serveru:

sysctl -w net.ipv4.ip_forward=1

Pak přidejte taková pravidla. Umožňujeme každému připojit se k našemu serveru:

iptables -A INPUT -p udp --dport 1194 -j PŘIJÍMAT

Umožňujeme uživatelům OpenVPN přístup k internetu:

iptables -I VPŘED -i tun0 -o eth0 -j PŘIJMOUT
# iptables -PŘEDÁM -i eth0 -o tun0 -j PŘIJMOUT
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

závěry

V tomto článku jsme se podívali na to, jak nainstalovat a nakonfigurovat OpenVPN Ubuntu, a také jak nakonfigurovat openvpn pro práci s ověřováním klíče. Organizace privátních virtuálních sítí může být velmi užitečná nejen v organizacích, ale také pro výměnu dat mezi dvěma vašimi počítači nebo pro zvýšení bezpečnosti sítě.

Konfigurace pomocí Network Manageru

Ať je to jakkoli, popište nastavení VPN pomocí správce sítě. Toto nastavení je docela vhodné pro ty, kteří automaticky získávají IP adresu pomocí DHCP při připojení ke své síti.

1. Nainstalujte dva balíčky, které potřebujeme:
#apt-get install pptp-linux network-manager-pptp
Vzhledem k tomu, že tyto balíčky nejsou ve výchozím nastavení na disku Ubuntu a VPN je často nutné konfigurovat na počítači, který již nemá žádný jiný přístup k internetu, doporučuji vám, abyste si tyto balíčky předem naskladnili z oficiálního úložiště. Chcete-li to provést, přejděte na web packages.ubuntu.com/, tam hledáme tyto dva balíčky, stáhneme je a poté je nainstalujeme na stroj, který potřebujeme.
2. Pokud se položka „VPN Connections“ v apletu Network Manager neobjeví nebo se neotevře, musíte se znovu přihlásit nebo ještě lépe restartovat.
3. Klikněte levým tlačítkem (pravé tlačítko otevře další nabídku) na ikonu Správce sítě a v rozevírací nabídce vyberte „VPN připojení“ - „Konfigurovat VPN Přidat nové připojení a nastavte všechny potřebné možnosti pro toto připojení.
4. Poté by se vaše připojení mělo objevit v nabídce „VPN connection“, pokud se náhle neobjeví, přihlaste se nebo restartujte (no, co mohu dělat, tento správce sítě je stále tak hrubý).
5. Všichni se nyní mohou připojit k tomu, co jste vytvořili vpn připojení(a také se odpojit výběrem položky nabídky v Network Manageru).

#apt-get nainstalovat pptp-linux

Jak jsem již popsal výše v sekci instalace pomocí správce sítě, VPN je často nutné konfigurovat na počítači, který již nemá jiné připojení k internetu, takže vám doporučuji, abyste si tento balíček předem naskladnili z oficiálních packages.ubuntu. com/ úložiště.

2. Upravte soubor options.pptp:
#nano /etc/ppp/options.pptp


lock noauth nobsdcomp nodeflate persist

Nebudu popisovat každý z parametrů, popíšu jen některé:
persist - tento parametr se pokusí znovu otevřít připojení, když se zavře;
nodeflate - nepoužívejte kompresi deflate (i když říkají, že to funguje rychleji, nevím - netestoval jsem to).
Pokud také vaše připojení používá šifrování, přidejte jeden z řádků v závislosti na typu šifrování - require-mschap-v2, require-mppe-40, required-mppe-128, required-mppe.

3. Vytvořte soubor připojení /etc/ppp/peers/vpn (název vpn můžete nahradit jakýmkoli jiným názvem, ale pokud tak učiníte, nezapomeňte jej později v tomto článku změnit)

#nano /etc/ppp/peers/vpn

Vložte tam následující řádky:
maxfail 0 lcp-echo-interval 60 lcp-echo-failure 4 defaultroute pty "pptp vpn.ava.net.ua --nolaunchpppd" jméno sukochev vzdálené jméno PPTP +chap soubor /etc/ppp/options.pptp ipparam vpn

Pozornost!!! Nezapomeňte nahradit následující možnosti svými:
Místo vpn.ava.net.ua zadejte adresu vašeho VPN serveru (můžete použít IP serveru). Místo sukochev vložte přihlašovací údaje pro připojení.
Popíšu pár parametrů:
maxfail 0 - vždy se pokuste připojit, když není žádné připojení;
lcp-echo-interval - časový interval, po kterém je vzdálená strana dotazována;
lcp-echo-failure - počet nezodpovězených požadavků ze vzdálené strany, po kterých se systém domnívá, že jsme byli odpojeni;
defaultroute - nastavení výchozí trasy;
+chap - typ autentizace. Kromě +chap lze použít typ +pap.
soubor - číst další nastavení z daného souboru.
V případě potřeby můžete také přidat následující parametry:
deflate 15,15 - použijte kompresi deflate (v souboru options.pptp by neměl být parametr nodeflate);
mtu - maximální velikost přenášeného paketu (tento parametr se obvykle mění, když je připojení často odpojeno nebo se některé stránky neotevřou);
mru - maximální velikost přijatého paketu.

4. Upravte soubor /etc/ppp/chap-secrets (pokud je použit typ ověřování PAP, pak /etc/ppp/pap-secrets)

#nano /etc/ppp/chap-secrets

Vložte tam řádek jako:

Sukochev heslo PPTP *

Pozornost!!! Nahraďte sukochev svým přihlašovacím jménem a heslo heslem pro připojení.
5. V případě potřeby zapište potřebné trasy do souboru /etc/network/interfaces. Mám například zaregistrované trasy, abych při zapnutém připojení VPN mohl používat místní lokální síť. Zde je příklad mých tras (těch, které začínají trasou nahoru), vaše se přirozeně budou lišit:

Auto eth1 iface eth1 inet dhcp up route add -net 10.1.0.0 netmask 255.255.0.0 gw 10.1.45.1 dev eth1 up route add -net 10.3.0.0 netmask 255.255.0111 gw.

Po změně nezapomeňte restartovat soubor /etc/network/interfaces síťová připojení:

#/etc/init.d/networking restart

6. Nyní můžete zapnout a vypnout připojení VPN pomocí následujících příkazů:
Zařazení

Vypnout

Automatické připojení VPN při spouštění systému

Chcete-li to provést, upravte soubor /etc/network/interfaces
#nano /etc/network/interfaces

A na konec souboru vložte následující řádky:
auto ppp0 iface ppp0 inet poskytovatel ppp vpn pre-up ip link set eth1 up route del default up route add default dev ppp0

Kde eth1 je rozhraní síťové zařízení, přes které je připojení VPN připojeno, a vpn je název připojení VPN, které jste vytvořili ve složce /etc/ppp/peers/.

Nastavení připojení VPN v Debianu

Zde je příklad nastavení připojení VPN pro Debian Linux přes příkazový řádek. Neméně užitečné to však bude pro majitele distribucí založených na Debianu, například Ubuntu.

  1. Nejprve budete potřebovat balíček pptp:
    # apt-get install pptp-linux
  2. Upravte (nebo vytvořte, pokud neexistuje) soubor /etc/ppp/options.pptp. Měl by obsahovat následující parametry:
    zámek
    noauth
    nobsdcomp
    nodeflate
  3. Dále musíte do souboru /etc/ppp/chap-secrets přidat řádek jako je tento:
    „uživatelské jméno“ PPTP „heslo“ *
  4. Vytvořte soubor /etc/ppp/peers/XXX (XXX je název sítě). Napište do něj následující:
    pty "pptp vpn.XXX.ru --nolaunchpppd"
    jméno "uživatelské jméno"
    vzdálené jméno PPTP
    soubor /etc/ppp/options.pptp
    výchozí trasa
    „uživatelské jméno“ a „heslo“ musí být nahrazeno vaším uživatelským jménem a heslem bez uvozovek, jak je uvedeno ve vaší smlouvě. vpn.XXX.ru - adresa serveru VPN - můžete zjistit od svého poskytovatele.
  5. Chcete-li automaticky nahradit výchozí trasu, vytvořte soubor /etc/ppp/ip-up.d/routes-up:
    # su touch /etc/ppp/ip-up.d/routes-up
    # su chown a+x /etc/ppp/ip-up.d/routes-up

    A zadejte do něj následující:
    #!/bin/sh
    /sbin/route del default
    /sbin/route přidat výchozí dev ppp0
    Vytvořte soubor /etc/ppp/ip-down.d/routes-down:
    # su dotkněte se /etc/ppp/ip-down.d/routes-down
    # su chown a+x /etc/ppp/ip-down.d/routes-down
    A zadejte do něj následující:
    #!/bin/sh
    /sbin/route del default
    /sbin/route přidat výchozí dev eth0

  6. Nyní se můžete připojit pomocí příkazu:
    #supon XXX
    Chcete-li zobrazit podrobné informace o procesu připojení, zadejte:
    # su pon XXX výpis ladění logfd 2 nodetach
    Zda jste připojeni k VPN, můžete zkontrolovat zadáním příkazu ifconfig. Pokud jeho výstup obsahuje sekci ppp0, pak jste připojeni a můžete začít pracovat s internetem. Chcete-li deaktivovat, stiskněte ctrl+c nebo napište:
    # su poff XXX
  7. Aby váš počítač mohl přijímat trasy z našeho serveru, musí být v souboru /etc/dhcp3/dhclient.conf přítomny následující řádky:
    #
    volba rfc3442-classless-static-routes kód 121 = pole celého čísla bez znaménka 8;
    volba ms-classless-static-routes kód 249 = pole celého čísla bez znaménka 8;
    #
    request-subnet-mask, broadcast-address, time-offset, routers, domain-name, domain-name-servers, domain-search, host-name, netbios-name-servers, netbios-scope, interface-mtu, static-route , rfc3442-classless-static-routes, ms-classless-static-routes;
    #
  8. Pro automatické připojení na internet při stahování operační systém vytvořte soubor /etc/init.d/XXX
    # dotkněte se /etc/init.d/XXX
    # su chown a+x /etc/init.d/XXX
    # su ln -s /etc/init.d/XXX /etc/rc2.d/S99XXX
    Zapišme si to následovně:
    #!/bin/sh
    su /usr/bin/pon XXX

Ve všech příkazech je XXX název vaší sítě.

Související publikace: